x

【中国数据保护】中国--放宽跨境数据传输的新规则:关键影响

cioctocdo
7 October 2023
SEO Title
China – New rules to ease cross-border data transfers: key implications

文章分类

2023年9月28日,中国数据保护监管机构——中国网信办(“CAC”)发布了《关于规范和促进跨境数据流的规定》草案(“规定草案”),供公众咨询。

《规定草案》为受现有数据出口限制的企业提出了一些豁免,这些企业可能会对许多国际组织正在进行的中国SCC、数据出口安全评估和数据保护认证项目产生实质性但希望是积极的影响。

以下是我们对《规定草案》进行初步审查时的一些关键亮点。

哪些数据导出活动可以免于采用数据传输机制?

根据《规定草案》,以下数据导出活动不必使用《中华人民共和国个人信息保护法》(PIPL)规定的三种关键传输机制之一:

  • 不到1万:对于许多B2B运营来说,至关重要的是,如果一个组织预计在一年内从中国出口的个人信息少于1万,那么转移机制将不适用。对于难以遵守现有规则的中小企业来说,这将缓解许多投资者、制造商和金融机构对合规性的担忧,这些机构只与中国大陆的商业和机构交易对手打交道。
  • 合同必要性:因国际服务合同而产生的出口,如跨境电子商务、跨境支付、机票购买和酒店预订以及签证申请也将被豁免。这一变化将受到零售平台、休闲和旅游参与者以及金融服务机构的欢迎,符合PIPL规定的同意豁免,以及2021年《网络数据安全管理条例》草案规定的类似合同必要性豁免。
  • 人力资源管理的必要性:根据PIPL,根据例外情况,人力资源管理所需的员工数据传输可免于获得同意。但是:
    • 在没有明确测试什么是“必要性”的情况下,什么人力资源管理活动可以以跨国公司常见的方式外包到海外仍然是一个问题。例如,依靠全球人力资源管理系统来提高成本效率是否足够?是否可以通过海外系统传递敏感的工资和银行账户详细信息,只让国外的本地银行执行国内汇款?
    • 组织还需要证明人力资源活动是根据其员工手册或其他劳动政策进行的。业务部门应审查——如果他们没有这样做——他们现有的内部实践涵盖了相关的数据导出需求。
  • 重大利益:在紧急情况下保护自然人健康和财产安全所需的数据也可能在不完成其中一个机制的情况下转移,这将有助于国际医疗服务、更快的灾难和疫情应对以及双边执法。
  • 非个人信息或重要数据:如果个人信息作为国际贸易、学术合作、跨境制造和生产以及营销活动的一部分出口,则不应触发转移机制。中国的跨境转移限制对大学之间学术研究的影响可能会被否定,但使用非匿名临床数据的试验似乎仍然有效。
  • 非中国来源的个人信息:这项针对从海外进入中国的数据的规定与2017年数据出口安全评估指南草案相呼应,尽管该草案从未最终发布。这可能有助于中国服务中心的发展,正如中国南方海南自由贸易港计划的那样,也是一些跨国公司区域基础设施的一部分。

这对您正在进行的中国SCC或安全评估项目意味着什么?

在过去12个月里,由于实施安全评估和标准合同,国际企业承担了合规负担,根据《规定草案》提出的绿色通道如果实施,将简化许多跨国公司的数据出口。

我们假设,许多适用豁免的公司将停止向CAC提交中国SCC或安全评估程序,以期节省时间和成本。然而,对于已经向CAC提交的申请和文件,《规定草案》中没有明确的机制来撤回组织的文件——这些文件通常包含有关中国和国外IT基础设施的敏感细节。

更广泛的合规计划又如何呢?

另一方面,条款草案下的豁免仅适用于PIPL下的数据传输机制,并不意味着组织无需遵守中华人民共和国数据法下的一般数据保护义务,包括:

  • 具有合法的处理基础,如获得数据主体的同意,并在以同意为基础的情况下单独同意跨境数据出口活动;
  • 提供针对跨境个人信息转移活动的必要信息通知,特别是PIPL要求的关于海外收件人的繁重披露尚未取消;和
  • 对个人信息或其他受监管的数据导出活动进行影响评估(或自我评估),并记录相关数据处理活动。特别是,对这些活动的评估应成为组织问责记录的基本组成部分,以记录其不采用PIPL下的数据导出机制的原因,以及其现有和持续遵守PIPL的情况。

此外,遵守新修订的《中华人民共和国反间谍法》对于与中国企业及其活动有关的某些信息收集活动(包括境内和境外)至关重要。许多投资公司、银行和服务提供商已经——或者应该——从这个角度审视他们的数据管理实践。

同样,组织也必须考虑特定行业的义务。受监管的组织应特别关注评估其是否符合PIPL和行业规则下的数据保护要求。对于金融机构,我们预计数据保护和数据出口合规将仍然是金融业监管机构的首要任务,以央行的数据安全规则草案为例。

下一步是什么?

《规定草案》强调,中央和地方网络空间管理部门将“在数据出口活动之前、期间和之后进行监督”,强调监管机构应注意监督中国的数据合规活动。

总的来说,《规定草案》表明,中国与其贸易伙伴之间的信息交流前景更加有利,并可能最终降低在世界第二大经济体或与之合作的公司的运营和合规成本。《规定草案》中提供的豁免和绿色通道也呼应了最近大湾区的数据流动倡议和国务院《关于促进外商投资的意见》。

CAC最终确定规则的时间尚不清楚,但我们预计监管机构将寻求在11月30日标准合同备案截止日期前最终确定规则

然而,尽管这些发展可能很有希望,但必须认识到跨境数据传输仍然是一个多方面的领域,需要履行许多义务。迫切需要强有力的合规计划,以确保在这个数据驱动的时代高效运营。

文章链接
https://cioctocdo.com/china-new-rules-ease-cross-border-data-transfers-key-implications

标签